Kriminelle haben Brute-Force-Angriffe auf Dashlane-Nutzerkonten ausgeführt, meldet der Anbieter. Dabei gelang es ihnen, etwa 20 Passwort-Vaults von Nutzerinnen und Nutzern zu kopieren. Die Daten seien verschlüsselt und nicht zugreifbar, versichert der Support.

In einem Support-Beitrag informiert Dashlane über den Vorfall. Die Untersuchungen habe der Anbieter demnach gegen Ende vergangener Woche abgeschlossen. Die Autoren beschreiben in der Mitteilung, dass am Sonntag, den 31. Mai 2026, jemand Brute-Force-Angriffe gegen bestimmte, nicht näher erläuterte Dashlane-Konten gestartet hat. Ziel war dabei, die Zwei-Faktor-Authentifizierung mittels Brute-Force zu umgehen, um so neue Geräte in bestehende Nutzerkonten zu registrieren.

Brute-Force-Angriffe abgewehrt

Die schiere Menge an Anfragen führte dazu, dass die automatischen Sicherheitssysteme angeschlagen sind und die betroffenen Nutzerkonten gesperrt haben, die Ziel der Angriffe waren. Das Dashlane-Team erhielt eine Warnung vom System und untersuchte den Vorfall. Als Ergebnis der Angriffe hatten viele Nutzer mit temporär gesperrten Konten zu tun. Der Zugang wurde inzwischen wiederhergestellt, versichert Dashlane.

Die Angreifer waren in einigen Fällen offenbar erfolgreich und konnten weniger als 20 Passwort-Vaults herunterladen, von Nutzern mit einem „Personal“-Abo (im Gegensatz zu „Business“-Abos). Dashlane habe Betroffene bereits direkt informiert – wer keine Benachrichtigung erhalten habe, sei daher nicht betroffen, versichert der Anbieter. Zudem seien Dashlane-Vaults nicht ohne das Master-Passwort zugreifbar, die Verschlüsselung stelle sicher, dass Zugangsversuche statistisch unwahrscheinlich gelingen – auch über längere Zeiträume.

Die Untersuchungen hätten keine weiteren Einflüsse auf die Dashlane-Systeme gezeigt. Die Angreifer haben versucht, den Mechanismus zur Geräteregistrierung zu missbrauchen. Der fragt einen sechsstelligen 2FA-Code ab, entweder mittels Authenticator erstellt oder als E-Mail gesendet. Passt der Code, lädt das Gerät den Passwort-Vault herunter. Der lässt sich jedoch nur mit dem Master-Passwort öffnen und setzt auf zeitgemäße Verschlüsselungsalgorithmen. Dashlane nennt eine verwendete Kombination aus Argon2, AES-256-CBC und HMAC-SHA256.

Dass die Passwort-Vaults ordentlich verschlüsselt sind, ist unbedingt erforderlich – es handelt sich nicht um den ersten Vorfall, bei dem Cloud-gespeicherte Passworttresore in die Hände von Online-Kriminellen gefallen sind. Etwa Ende 2022 hatte der Passwort-Manager-Dienst LastPass eingeräumt, dass Unbefugte in die Cloudsysteme eingedrungen sind und dabei Zugriff auf Kundendaten erlangt haben. E-Mail-Adressen und Passwörter waren darunter: Die Rede war davon, dass aus Backups kopierte Passworttresore von Kunden unverschlüsselte URLs und verschlüsselte Informationen wie Nutzernamen und Passwörter enthielten.

Rund ein Jahr später schienen die Angreifer dann die Passworttresore zu knacken. Mit den Zugangsdaten darin konnten sie offenbar Zugang zu bestimmten Konten erlangen und Kryptowallets leerräumen.

(dmk)

Ursprünglich war es ein einfacher FTP-Server, inzwischen eine ausgewachsene Managed-File-Transfer-Software: SolarWinds Serv-U dient dem Datenaustausch für wichtige Systeme bei Organisationen. Schwachstellen darin sind für Cyberkriminelle oftmals interessant – mit einer vergleichbaren Software wie Progress MOVEit hatte die Cybergang Cl0p sensible Daten vieler namhafter Unternehmen gestohlen und damit Lösegeld erpresst. In Serv-U wird jetzt eine Sicherheitslücke im Internet angegriffen, die das System und damit den Datenaustausch in Einrichtungen lahmlegt.

SolarWinds warnt in einer aktuellen Schwachstellenmeldung, dass Angreifer mit manipulierten POST-Anfragen den Serv-U-Dienst zum Absturz bringen können. Das gelingt aus dem Netz, ohne vorherige Anmeldung, als Kodierung muss jedoch „Deflate“ aktiv sein (CVE-2026-28318, CVSS 7.5, Risiko „hoch“). SolarWinds stellt die korrigierte Version Serv-U 15.5.4 HF1 bereit, gibt aber auch Tipps zur Absicherung mittels Web Application Firewall (WAF). Darin sollte der Zugriff auf bekannte Adressen beschränkt werden, wo das möglich ist. Anfragen, die „Content-Encoding“ enthalten, sollten darin blockiert werden, da diese Funktion von dem Dienst nicht benötigt wird. Mit einer Web-Suche hat SolarWinds einige Vorschläge für Regeln einiger WAFs erstellt – die sollten Admins jedoch zuvor gründlich prüfen, ob sie in ihrer Umgebung so einsetzbar sind.

Schwachstelle in freier Wildbahn bereits attackiert

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt inzwischen vor beobachteten Angriffen auf die Schwachstelle in SolarWinds Serv-U. Wie üblich nennt sie jedoch keinerlei Details, etwa zu Art und Umfang der Attacken. Daher lassen sich auch keine Hinweise für erfolgreiche Angriffe (Indicators of Compromise, IOC) ableiten. IT-Verantwortliche sollten jedoch zügig die aktualisierte Software installieren oder die vorgeschlagene Filterung mittels WAF einrichten.

In SolarWinds Serv-U haben die Entwickler zuletzt Ende Februar Sicherheitslücken gestopft. Es handelte sich dort gleich um vier Schwachstellen, die als Risikoeinstufung die Einordnung „kritisch“ erreichten.

(dmk)

Die Google Threat Intelligence Group warnt aktuell davor, dass Angreifer physisch auf die Systeme ihrer Opfer zugreifen: Sie geben sich vor Ort als IT-Techniker aus und betreten dann die Büros eines betroffenen Unternehmens. Mit einem USB-Stick greifen sie anschließend sensible Daten direkt vom Endgerät ab.

Normalerweise versuchen digitale Angreifer meist aus der Ferne Daten zu stehlen oder Netzwerke zu sabotieren: Das Opfer fällt etwa auf eine Phishing-Mail herein, kontaktiert den Angreifer und der erhält remote Zugriff aufs Firmennetz – dann kopiert er sensible Daten. Kommt der Angreifer so nicht weiter, steht er in manchen Fällen direkt vorm Firmengebäude.

Bei den falschen IT-Supportern geht es laut Google um die Hackergruppe UNC3753, die auch als Luna Moth, Chatty Spider oder Silent Ransom Group bekannt ist. Sie zielen hauptsächlich auf Anwaltskanzleien in den USA ab, aber auch Versicherungs-, Finanz- oder Gesundheitsunternehmen sind betroffen. Bei den Daten geht es dann um rechtliche Vereinbarungen, personenbezogene Daten oder Finanzunterlagen, mit denen sie das Unternehmen später erpressen wollen.

Vorgehen

Die Hackergruppe sucht auf Firmenwebsites nach Kontaktdaten, um ihre Opfer etwa per Telefon oder Mail zu erreichen. Dabei tun sie so, als würden sie zur IT- oder Sicherheitsabteilung des Unternehmens gehören. Sie machen dann das Opfer auf eine vermeintliche Sicherheitslücke aufmerksam oder wollen ihm bei einem erfundenen Projekt helfen, um Daten zu migrieren. So bauen sie Vertrauen auf und versuchen, das Opfer zu einer Fernwartungssitzung zu überzeugen.

Laut Google nutzt UNC3753 ganz normale Screen-Sharing-Software: Zoom, Microsoft Terminal Services, Microsoft Teams oder Quick Assist. In einem Beispiel hat der Angreifer etwa innerhalb von drei Tagen mit dem Opfer fünfmal per Teams gesprochen. Sie versuchen die Opfer aber auch dazu zu bewegen, spezielle Remote-Software zu installieren: wie AnyDesk, Bomgar oder Zoho Assist. In einem Fall sollte der Nutzer einen „SuperOps RMM agent“ per cURL herunterladen.

Daten übertragen

Haben die Angreifer das Vertrauen des Opfers, kopieren sie sensible Daten. Sie melden sich etwa direkt im Browser des Opfers bei Dateifreigabe-Konten und laden Dateien direkt hoch – das taten sie entweder selbst oder haben ihre Opfer dazu angeleitet. Dabei imitierten sie auch das Branding des Zielunternehmens.

Unter anderem kamen dabei die Datenübertragungsprogramme WinSCP oder Rclone zum Einsatz. In einem Fall haben die Angreifer etwa 1,7 GByte an Daten aus einem lokalen OneDrive-Ordner auf ein Google-Drive-Konto übertragen. Zudem haben sie Opfer angewiesen, Dateien aus der Anwaltssoftware iManage direkt per Mail an die Hacker zu senden.

FBI-Warnung

Falls die Remote-Taktiken der Angreifer fehlschlagen, versuchen sie laut Google physisch die Daten zu stehlen. Auch das FBI hat davor bereits Ende Mai gewarnt (PDF). Sie stellen sich wieder als IT-Support vor und täuschen etwa vor, dass sie ein Backup erstellen müssen. Dafür nutzen sie externe Festplatten oder einfache USB-Sticks. Haben die Hacker alle Daten, die sie brauchen, senden sie eine Erpressermail an die Firma und drohen mit der Veröffentlichung.

Das FBI empfiehlt unter anderem, die Berechtigungen aller Personen zu kontrollieren, die Unternehmensräume betreten. Außerdem sollen Unternehmen ihre Mitarbeiter schulen, Backups anlegen und etwa die Möglichkeit, externe Laufwerke anzuschließen, einschränken.

Zudem rät Google dazu, den ausgehenden Datenverkehr und das Netzwerk strikt zu überwachen – der Abfluss von mehreren GByte an Daten sollte nicht unbemerkt bleiben. Unternehmen sollen nicht autorisierte Filesharing-Dienste blockieren, die übertragenen Datenmengen in den Firewall-Protokollen erfassen und den SSH-Verkehr auf Port 22 gezielt auf massenhafte Übertragungen prüfen.

(str)